Werbeshit & Co

Früher war alles besser. Subjektiv besteht das Internet nur noch aus:

  • Aggressive Werbung: Ton. Videos im Hintergrund. Pop-Up-Werbung auf dem Handy, dessen „X-Button“ kaum zu treffen ist ohne auf die Werbung zu klicken.
  • Adblocker-Schranken, die eine Selbstverteidigung gegen das obige unterbinden.
  • Absolut sinnlose Datenschutz-Cookie-Erklärungen, die jeder im Schlaf wegklickt – primär ein Feature zur Einnahmensteigerung für Anwälte.
  • Fakebewertungsportale sowie gekaufte Fake-Rezensionen in seriösen Portalen und Shops.
  • Sozialen Netzwerk-Müll: Timelines bestehen nur noch aus „Schaut wie geil ich bin“-Posts, Werbung und Propaganda. Schaut euch einmal die Fähigkeiten für Firmen an bei Facebook-Werbung zu schalten, primär die gigantischen Auswahlmöglichkeiten der Zielgruppe. Für den Vertrieb genial, ansonsten eher abartig.
  • Amazon-Abzocke: Produkte per Default-Einstellung direkt im Abo zu beziehen.
  • Fake-Beiträge in Foren als zweiter Beitrag: Du suchst nach XYZ? Andere wurden hier (Link zum Shop) fündig.
  • Bashing gegen AfD. Bashing gegen Linke. Bashing hin, bashing her..

So langsam macht surfen keinen Spaß mehr. Ich verstehe ja die Notwendigkeit, Werbung zu schalten und Einnahmen zu generieren, aber die Inhalte im Netz waren – gefühlt – noch nie so hirnlos wie heute. Erst kam das Hartz 4-TV, jetzt schwappt der Scheiss ins Netz.

Irgendwann schaue ich nur noch Netflix, lese tagesschau.de und Print-Zeitung. Echt schade…

 

 

Die Details des IT-Sicherheitsgesetzes

Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen:

  • Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz
  • Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen zu schützen. Wie? Nach dem Stand der Technik natürlich.
  • Die Betreiber müssen dies regelmäßig durch Audits nachweisen. Dabei können sie selbst Standards vorschlagen, die aber genehmigungspflichtig sind. In der Praxis wird das bedeuten: Alle Betreiber Kritischer Infrastrukturen, die noch nicht nach ISO 27001 zertifiziert sind (oder den ISO 27001 Umweg über das BSI-Zertifikat gehen), werden demnächst eine ISO 27001 Zertifizierung anstreben müssen.
  • Die Betreiber müssen melden, wenn erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei Ihnen auftreten oder aufgetreten sind.
  • Die öffentliche Kritik bzgl. der erlaubten Vorratsdatenspeicherung halte ich für total übertrieben. Der Gesetzeswortlaut: „Soweit erforderlich, darf der Diensteanbieter die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“ Die meisten Admins werden sagen, dass sie das ohnehin schon machen: Ohne Logs würde nur noch die Glaskugel helfen. Eigentlich gibt es da eher nun etwas mehr Rechtssicherheit.
  • Das BSI erhält deutlich mehr Kompetenzen, Rechte und wird zur deutschen Zentralstelle für IT-Sicherheit ausgebaut. Von der Behörden-Sicherheits-Behörde geht es weg und das BSI darf ernster genommen werden.

Für die großen Unternehmen dürfte das jetzt nicht so die Besonderheit sein, ein ISMS zu betreiben und dies nach ISO 27001 zertifizieren zu lassen. Von einem Betreiber Kritischer Infrastruktur kann man das schon erwarten. Die Meldepflicht finde ich auch in Ordnung, die Meldung von erheblichen Störungen könnte zentral verwaltet von Vorteil sein, wenn das in der Praxis gut umgesetzt wird. Dafür erscheinen mir die Auswirkungen der Änderungen vom Telemediengesetz eher von großer Bedeutung zu sein:

„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

In der Erläuterung dazu steht:

„Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.“

An Bußgeld wurde auch gedacht:

„Die Aufnahme eines Verstoßes gegen die in § 13 Absatz 7 Satz 1 Nummer 1 oder Nummer 2 Buchstabe a des Telemediengesetzes geregelte Pflicht des Diensteanbieters zum Einsatz technischer und organisatorischer Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte in die Bußgeldvorschriften des § 16 Absatz 2 Nummer 3 entspricht der Bußgeldbewehrung eines Verstoßes gegen die weiteren in § 13 Absatz 4 geregelten Pflichten des Diensteanbieters. Bußgeldbewehrt ist damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“

Das ist ein Hammer, das gab es vorher nicht. Demnächst könnten selbst Mini-Kommerziellen-Onlinediensten oder -Webseiten ein Bußgeld bis zu 50.000€ (§16 TMG) aufgedrückt bekommen, wenn Sie ihre Dienste nicht angemessen nach dem Stand der Technik schützen. Sicherlich wird nicht jeder gleich das maximale Bußgeld zahlen müssen. Aber: Diensteanbieter müssen sich um ihr Sicherheitsnievau kümmern, unabhängig vom BDSG.

Die PDF:
https://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile

Deutschland entdeckt die Spionageabwehr

Wir schreiben das Jahr 1999. Die deutsche Regierung möchte ihre nachrichtendienstliche Abwehr aufrüsten: Jetzt soll in IT-Sicherheit investiert werden. Unser Außenministerium, unser Verteidigungsministerium und unser Justizministerium sollen ihre interne Kommunikation auf Sicherheitsmängel prüfen lassen. Und als besondere Maßnahme will der NSA-Ausschuss eine Schreibmaschine zur Spionageabwehr nutzen.

Moment. NSA-Ausschuss? Wir sind ja schon in 2014. Macht nix. Die technologische Entwicklung kann ein deutscher Nachrichtendienst auch einmal verschlafen. Die anderen Behörden sind ja auch nicht besser. Wir prüfen im Jahr 2014 einmal grundsätzlich, wie sicher die IT unserer Volksvertretung ist. Derweil wird in Untersuchungsausschüssen wieder die Schreibmaschine benutzt. Tolle Leistung.

Unsere Regierung sollte über einen „Beauftragter der Bundesregierung für Informationssicherheit“ nachdenken. Wir haben welche für die IT und für den Datenschutz. Aber einen CISO in oder unterhalb der Bundesregierung haben wir keinen.

Ping Flood gegen Quizduell in der ARD

Eigentlich hat es mich nicht interessiert: Quizduell in der ARD mit Jörg Pilawa. In der Show sollte versucht werden, die Zuschauer über eine eigene App interaktiv mit raten zu lassen. In der ersten Sendung brach die IT zusammen. Danach wurden noch Berichte von einem Datenleck mit 50.000 Nutzern laut. Jetzt stoß ich zufällig im Zappen darauf.

Am Anfang der dritten Sendung wurde nun veröffentlicht, dass man einer DoS-Attacke ausgesetzt war, die über viele SSH-Agents mittels ping requests ausgelöst wurde Die Aussage hat sich Herr Pilawa von der eigenen IT geben lassen. Mich würde interessieren, woher die das mit dem SSH haben und welche Rolle das bei einem Ping Flood spielen soll. Also zumindest soll die Leitung dicht gemacht worden sein.

Dann entschuldigte sich Pilawa noch, dass auch sie einen Fehler gemacht haben. Durch die Verknüpfung von Daten wie Wohnort oder Geschlecht sollten Auswertungen vollzogen werden, ob sich statistische Merkmale in der Beantwortung von richtigen oder falschen Fragen ableiten lassen. Das habe die Server überlastet.

Also wir lassen uns lahmlegen durch einen relativ unspektakulären Ping Flood und sorgen durch falsch dimensionierte Hardware noch dafür, dass auch ohne den DoS nichts funktionieren würde. Weil das aber noch nicht genug ist, bauen wir noch ein Datenleck ein, sodass Unbefugte Zugriff auf personenbezogene Daten erhalten können.

Die gesamte Leistung wurde von unseren Rundfunkbeiträgen bezahlt. Anscheinend ist der Rundfunkbeitrag noch nicht hoch genug, sodass man sich keinen vernünftigen Dienstleister hat leisten können.